lemonldap-ng/po-doc/fr/pages/documentation/current/authldap.html

<!DOCTYPE html>
<html lang="fr" dir="ltr">
<head>
    <meta http-equiv="content-type" content="text/html; charset=UTF-8">
  <meta charset="utf-8" />
  <title>documentation:2.0:authldap</title>
<meta name="generator" content="DokuWiki"/>
<meta name="robots" content="index,follow"/>
<meta name="keywords" content="documentation,2.0,authldap"/>
<link rel="search" type="application/opensearchdescription+xml" href="lib/exe/opensearch.html" title="LemonLDAP::NG"/>
<link rel="start" href="authldap.html"/>
<link rel="contents" href="authldap.html" title="Sitemap"/>
<link rel="stylesheet" type="text/css" href="lib/exe/css.php.t.bootstrap3.css"/>
<link rel="stylesheet" type="text/css" href="/static/bwr/bootstrap/dist/css/bootstrap.min.css"/>
<script type="text/javascript">/*<![CDATA[*/var NS='documentation:2.0';var JSINFO = {"id":"documentation:2.0:authldap","namespace":"documentation:2.0"};
/*!]]>*/</script>
<script type="text/javascript" charset="utf-8" src="lib/exe/js.php.t.bootstrap3.js"></script>
</head>
<body>
<div class="dokuwiki export container"><!-- TOC START -->

<div id="dw__toc">
<h3 class="toggle">Table of Contents</h3>
<div>

<ul class="toc">
<li class="level1"><div class="li"><a href="#presentation">Présentation</a></div></li>
<li class="level1"><div class="li"><a href="#configuration">Configuration</a></div>
<ul class="toc">
<li class="level2"><div class="li"><a href="#authentication_level">Niveau d'authentification</a></div></li>
<li class="level2"><div class="li"><a href="#exported_variables">Variables exportées</a></div></li>
<li class="level2"><div class="li"><a href="#connection">Connexion</a></div></li>
<li class="level2"><div class="li"><a href="#filters">Filters</a></div></li>
<li class="level2"><div class="li"><a href="#groups">Groupes</a></div></li>
<li class="level2"><div class="li"><a href="#password">Mot-de-passe</a></div></li>
</ul></li>
</ul>
</div>
</div><!-- TOC END -->


<h1 class="sectionedit1" id="ldap">LDAP</h1>
<div class="level1">
<div class="table sectionedit2"><table class="inline table table-bordered table-striped">
	<thead>
	<tr class="row0 roweven">
		<th class="col0 centeralign">  Authentification  </th><th class="col1 centeralign">  Utilisateurs  </th><th class="col2 centeralign">  Mot-de-passe  </th>
	</tr>
	</thead>
	<tr class="row1 rowodd">
		<td class="col0 centeralign">    ✔    </td><td class="col1 centeralign">    ✔    </td><td class="col2 centeralign">    ✔    </td>
	</tr>
</table></div><!-- EDIT2 TABLE [21-90] -->

</div><!-- EDIT1 SECTION "LDAP" [1-91] -->

<h2 class="sectionedit3" id="presentation">Présentation</h2>
<div class="level2">

<p>
<abbr title="LemonLDAP::NG">LL::NG</abbr> peut utiliser un annuaire LDAP pour :
</p>
<ul>
<li class="level1"><div class="li"> authentifier les utilisateurs</div>
</li>
<li class="level1"><div class="li"> obtenir les attributs utilisateurs</div>
</li>
<li class="level1"><div class="li"> obtenir les groupes dont l'utilisateur est membre</div>
</li>
<li class="level1"><div class="li"> changer les mots-de-passe (avec la gestion de la politique de mot-de-passe côté serveur)</div>
</li>
</ul>

<p>
Ceci fonctionne avec tout serveur LDAP v2 ou v3, dont <a href="authad.html" class="wikilink1" title="documentation:2.0:authad">Active Directory</a>.
</p>

<p>
<abbr title="LemonLDAP::NG">LL::NG</abbr> est compatible avec <a href="https://opends.dev.java.net/public/standards/draft-behera-ldap-password-policy.txt" class="urlextern" title="https://opends.dev.java.net/public/standards/draft-behera-ldap-password-policy.txt"  rel="nofollow">la politique de mots-de-passe LDAP</a> :
</p>
<ul>
<li class="level1"><div class="li"> Le server LDAP server peut vérifier la solidité du mot de passe et le portail <abbr title="LemonLDAP::NG">LL::NG</abbr> affichera les erreurs correctes (mot-de-passe trop court, dans l'historique, etc…)</div>
</li>
<li class="level1"><div class="li"> Le serveur LDAP peut bloquer les attaques par force brute et <abbr title="LemonLDAP::NG">LL::NG</abbr> affichera que le compte est bloqué</div>
</li>
<li class="level1"><div class="li"> Le serveur LDAP peut imposer le changement de mot-de-passe à la première connexion et le portail <abbr title="LemonLDAP::NG">LL::NG</abbr> affichera le formulaire de changement de mot-de-passe avant d'ouvrir la session <abbr title="Authentification unique (Single Sign On)">SSO</abbr></div>
</li>
</ul>

</div><!-- EDIT3 SECTION "Presentation" [92-903] -->

<h2 class="sectionedit4" id="configuration">Configuration</h2>
<div class="level2">

<p>
Dans le manager, aller dans <code>Paramètres généraux</code> &gt; <code>Modules d'authentification</code> et choisir LDAP) pour les modules authentification, utilisateurs et/ou mots-de-passe.
</p>
<div class="notetip">Pour <a href="authad.html" class="wikilink1" title="documentation:2.0:authad">Active Directory</a>, choisir <code>Active Directory</code> au lieu de <code>LDAP</code>.
</div>
</div><!-- EDIT4 SECTION "Configuration" [904-1169] -->

<h3 class="sectionedit5" id="authentication_level">Niveau d'authentification</h3>
<div class="level3">

<p>
Le niveau d'authentification accordé aux utilisateurs authentifiés par ce module.
</p>
<div class="noteimportant">Comme LDAP est un module de type login/mot-de-passe, le niveau d'authentification peut être :<ul>
<li class="level1"><div class="li"> augmenté (+1) si le portail est protégé par SSL (HTTPS)</div>
</li>
<li class="level1"><div class="li"> diminué (-1) si l'autocompletion est autorisée sur le portail (voir <a href="portalcustom.html" class="wikilink1" title="documentation:2.0:portalcustom">Personnalisation du portail</a>)</div>
</li>
</ul>

</div>
</div><!-- EDIT5 SECTION "Authentication level" [1170-1535] -->

<h3 class="sectionedit6" id="exported_variables">Variables exportées</h3>
<div class="level3">

<p>
Liste d'attributs à interroger pour trouver la session utilisateur. Voir aussi la <a href="exportedvars.html" class="wikilink1" title="documentation:2.0:exportedvars">configuration des variables exportées</a>.
</p>

</div><!-- EDIT6 SECTION "Exported variables" [1536-1676] -->

<h3 class="sectionedit7" id="connection">Connexion</h3>
<div class="level3">
<ul>
<li class="level1"><div class="li"> <strong>Nom de serveur</strong> : nom du serveur LDAP ou <abbr title="Uniform Resource Identifier">URI</abbr> (par défaut : localhost). Autres possibilités :</div>
<ul>
<li class="level2"><div class="li"> Plusieurs serveurs peuvent être renseignés séparés par des virgules ou espaces. Ils seront testés dans l'ordre indiqué.</div>
</li>
<li class="level2"><div class="li"> Pour utiliser TLS, utiliser <code>ldap+tls://server</code> et pour utiliser LDAPS, indiquer <code>ldaps://server</code> au lieu du nom de serveur.</div>
</li>
<li class="level2"><div class="li"> En utilisant TLS, il est possible d'utiliser toutes les options de la fonction start_tls() <a href="http://search.cpan.org/~gbarr/perl-ldap/lib/Net/LDAP.pod" class="urlextern" title="http://search.cpan.org/~gbarr/perl-ldap/lib/Net/LDAP.pod"  rel="nofollow">Net::LDAP</a> telle <code>ldap+tls://server/verify=none&amp;capath=/etc/ssl</code>. On peut également utiliser les paramètres caFile et caPath.</div>
</li>
</ul>
</li>
<li class="level1"><div class="li"> <strong>Port du serveur</strong> : port TCP du serveur LDAP. Peut être surchargé par une &lt;a3&gt;URI&lt;/a3&gt; LDAP dans le nom du serveur.</div>
</li>
<li class="level1"><div class="li"> <strong>Base de recherche des utilisateurs</strong> : base de recherche de l'annuaire LDAP.</div>
</li>
<li class="level1"><div class="li"> <strong>Compte</strong> : <abbr title="Distinguished Name">DN</abbr> à utiliser pour se connecter au serveur LDAP. Par défaut, une connexion anonyme est utilisée.</div>
</li>
<li class="level1"><div class="li"> <strong>Mot-de-passe</strong> : mot-de-passe à utiliser pour se connecter au serveur LDAP. Par défaut, une connexion anonyme est utilisée.</div>
</li>
<li class="level1"><div class="li"> <strong>Timeout</strong> : délai maximum de connexion.</div>
</li>
<li class="level1"><div class="li"> <strong>Version</strong> :  version du protocole LDAP.</div>
</li>
<li class="level1"><div class="li"> <strong>Attributs binaires</strong> : expression régulière correspondant aux attributs binaires (voir la documentation <a href="http://search.cpan.org/~gbarr/perl-ldap/lib/Net/LDAP.pod" class="urlextern" title="http://search.cpan.org/~gbarr/perl-ldap/lib/Net/LDAP.pod"  rel="nofollow">Net::LDAP</a>).</div>
</li>
</ul>

</div><!-- EDIT7 SECTION "Connection" [1677-2868] -->

<h3 class="sectionedit8" id="filters">Filters</h3>
<div class="level3">
<div class="notetip">Dans les filtres LDAP, $user est remplacé par le nom du compte et $mail par l'adresse email.
</div><ul>
<li class="level1"><div class="li"> <strong>Filtre par défaut</strong> : filtre LDAP par défaut pour les recherches, ne devrait pas être modifié.</div>
</li>
<li class="level1"><div class="li"> <strong>Filtre d'authentication</strong> : filtre pour trouver l'utilisateur à partir de son login (défaut : <code>(&amp;(uid=$user)(objectClass=inetOrgPerson))</code>)</div>
</li>
<li class="level1"><div class="li"> <strong>Filtre mail</strong> : filtre pour trouver l'utilisateur à partir de son mail (défaut: <code>(&amp;(mail=$mail)(objectClass=inetOrgPerson))</code>)</div>
</li>
<li class="level1"><div class="li"> <strong>Déréférence d'alias</strong> : comment gérer les alias LDAP. (défaut: <code>find</code>)</div>
</li>
</ul>
<div class="notetip">Pour Active Directory, le filtre d'authentification par défaut est :
<pre class="code">(&amp;(sAMAccountName=$user)(objectClass=person))</pre>

<p>
Et le filtre d'adresse mail est :
</p>
<pre class="code">(&amp;(mail=$mail)(objectClass=person))</pre>

</div>
</div><!-- EDIT8 SECTION "Filters" [2869-3590] -->

<h3 class="sectionedit9" id="groups">Groupes</h3>
<div class="level3">
<ul>
<li class="level1"><div class="li"> <strong>Base de recherche</strong> : <abbr title="Distinguished Name">DN</abbr> de la branche des groupes. La recherche des groupes est désactivé si cette valeur est vide.</div>
</li>
<li class="level1"><div class="li"> <strong>Classe d'object</strong>: objectClass du groupe (défaut: groupOfNames).</div>
</li>
<li class="level1"><div class="li"> <strong>Attribut cible</strong> : nom de l'attribut du groupe stockant le lien vers l'utilisateur (défaut: member).</div>
</li>
<li class="level1"><div class="li"> <strong>Attribut source utilisateur</strong> : nom de l'attribut utilisateur utilisé dans le lien (défaut: dn).</div>
</li>
<li class="level1"><div class="li"> <strong>Attributs recherchés</strong> : nom(s) de l'attribut stocké dans le nom du groupe, séparés par des espaces (défaut: cn).</div>
</li>
<li class="level1"><div class="li"> <strong>Récursivité</strong> : active la fonctionnalité récursive (défaut: 0). Si activé et si le groupe de l'utilisateur est membre d'un autre groupe (groupes de groupes), tous les groupes parents seront considérés comme groupes de l'utilisateur.</div>
</li>
<li class="level1"><div class="li"> <strong>Attribut source du groupe</strong> : nom de l'attribut dans l'entrée groupe utilisé dans le lien pour la recherche récursive de groupe (défaut : dn).</div>
</li>
</ul>

</div><!-- EDIT9 SECTION "Groups" [3591-4425] -->

<h3 class="sectionedit10" id="password">Mot-de-passe</h3>
<div class="level3">
<ul>
<li class="level1"><div class="li"> <strong>Contrôle de politique de mot-de-passe</strong> : active l'utilisation de la politique de mots-de-passe LDAP. Nécessite une version de Net::LDAP égale ou supérieure à 0.38. (voir le procédé de politique de mots-de-passe ci-dessous)</div>
</li>
<li class="level1"><div class="li"> <strong>Opération étendue de modification de mot-de-passe</strong> : active l'utilisation de l'opération étendue de <code>modification de mot-de-passe</code> LDAP au lieu de l'opération standard.</div>
</li>
<li class="level1"><div class="li"> <strong>Change comme utilisateur</strong> : active la modification du mot-de-passe avec les éléments d'authentification de l'utilisateur connecté. Nécessite de requérir l'ancien mot-de-passe (voir <a href="portalcustom.html" class="wikilink1" title="documentation:2.0:portalcustom">personnalisation du portail</a>).</div>
</li>
<li class="level1"><div class="li"> <strong>Encodage des mots-de-passe LDAP</strong> : peut permettre de gérer les anciens servers LDAP en utilisant un encodage spécifique pour les mots-de-passe (défaut: utf-8).</div>
</li>
<li class="level1"><div class="li"> <strong>Utiliser l'attribut reset</strong> : activé pour utiliser l'attribut reset du mot-de-passe. Cet attribut est activé par LemonLDAP::NG lorsque <a href="resetpassword.html" class="wikilink1" title="documentation:2.0:resetpassword">le mot-de-passe a été réinitialisé par mail</a> et que l'utilisateur a choisi de générer le mot-de-passe (défaut : activé).</div>
</li>
<li class="level1"><div class="li"> <strong>Attribut reset</strong> : nom de l'attribut reset du mot-de-passe (défaut : pwdReset).</div>
</li>
<li class="level1"><div class="li"> <strong>Valeur de reset</strong> : valeur à mettre dans l'attribut reset pour activer la réinitialisation du mot-de-passe (défaut : TRUE).</div>
</li>
<li class="level1"><div class="li"> <strong>Allow a user to reset his expired password</strong>: if activated, the user will be prompted to change password if his password is expired (default: 0)</div>
</li>
</ul>

<p>
</p><div class="row"><div class="col-md-6">
<strong>Procédé d'avertissement avant expiration du mot-de-passe</strong>
<a href="documentation/lemonldap-ng-password-expiration-warning.png_documentation_2.0_authldap.html" class="media" title="documentation:lemonldap-ng-password-expiration-warning.png"><img src="documentation/lemonldap-ng-password-expiration-warning.png" class="media" alt="" /></a>
</div>
<div class="col-md-6">
<strong>Procédé d'expiration du mot-de-passe</strong>
<a href="documentation/lemonldap-ng-password-expired.png_documentation_2.0_authldap.html" class="media" title="documentation:lemonldap-ng-password-expired.png"><img src="documentation/lemonldap-ng-password-expired.png" class="media" alt="" /></a>
</div></div>
</p>

</div><!-- EDIT10 SECTION "Password" [4426-] -->
</div>
</body>
</html>